Chrome ウェブストアで公開されているゲームが過剰なアクセス許可を要求してくるという件が、最近オンラインで話題になっています。これらのゲームは、Google Chrome の拡張機能です。Chrome のさまざまな機能を利用するためには一定のアクセス許可が必要で、たとえばブックマークを更新するにはブックマークマネージャへのアクセスを許可する必要があります。アプリケーション「Super Mario 2」は、chromitude という開発者が提供していますが、chromitude は Web データをリミックスするサービスやブラウザ拡張機能を開発している Slice Factory という会社に関係しています。この拡張機能で要求されるアクセス許可が、ただゲームをプレイするためとしては過剰なようです。要求されるアクセス許可は、次のとおりです。
· ブックマークへのアクセス
· 新しいタブの作成を通知
· すべての URL へのアクセス
ゲームでこのようなアクセス許可が要求される理由と、この拡張機能の実際の動作を確認するために、シマンテックはこのアプリケーションを解析しました。この拡張機能は 2 つの部分で構成されています。1 つ目は「Super Mario 2」の部分です。これは害のない Flash ベースのゲームであり、アクセス許可で求められているような形で Chrome にアクセスすることはありません。
一方、2 つ目の部分は実際に追加のアクセス許可を必要としています。この部分はバックグラウンドで動作し、2 つの JavaScript コードを要求します。要求されるコードは slicefactory.com と extensionfactory.com に置かれていて(図1)、extensionfactory.com は Slice Factory が提供しているサービスです。
図 1. バックグラウンドの JavaScript インクルード
ゲームのインストール日時と最終実行日時など基本的な情報を記録するほか、このコードは新しいタブを横取りし、そのタブのアドレスをチェックします。新しく開かれるタブが www.lemonde.fr ドメインにアクセスする場合、extensionfactory.com から提供される別の JavaScript がそのページに挿入されます。
挿入された JavaScript は、図 2 に示す偽のツールバーを作成します。
図 2. 挿入されたツールバー
ツールバーには、拡張機能をインストールするためのリンクが含まれています。この拡張機能をインストールすると、Le Monde 紙のフィードが配信され、新着のニュース記事が表示されます。同じ拡張機能は、slicefactory.com の Web サイトでも宣伝されています(図 3)。
図 3. Slice Factory でも Le Monde 拡張機能を宣伝
この追加動作は、Chrome ウェブストアで Super Mario 2 をインストールする時点では明示されません。今のところ、JavaScript が挿入されるのは www.lemonde.fr にアクセスしたときに限られていますが、コードは動的なので、今後は変更される可能性があります。
Super Mario 2 のゲームは、すでに Chrome ウェブストアから削除されています。
シマンテックが Slice Factory に問い合わせたところ、以下のような回答がありました。
「この Super Mario 2 Web アプリケーションは、Le Monde 拡張機能の宣伝付きで公開されるはずではありませんでした。当社が社内でテストしていた実験的な機能でしたが、それが誤って公開版パッケージに入り込んでしまったようです」。また、同社の担当者によれば、Super Mario 2 アプリケーションに挿入されるもうひとつの JavaScript は Extension Factory のバックオフィス(Google Analytics などの統計スクリプトに似たもの)に統計データを送信するために必要なものだったが、個人情報はいっさい侵害していないと述べています。
Slice Factory は、chromitude という開発者名を使ってこのほかにも Chrome ウェブストアでいくつかのゲームを公開しています。
- Tetris(テトリス)
- Zelda
- Platform Racing 2
- Othello
- Snake
シマンテックは現在、chromitude によって公開されているこれらのアプリケーションについても解析を進めているところです。いずれも、ゲームブランドの公式な所有者が公開しているものではありません。
Chrome の Web アプリケーションは、新しいタブを開いてアプリケーションのアイコンにカーソルを重ね、レンチのアイコン([設定])をクリックして[アンインストール]をクリックすればアンインストールできます。Chrome のメニューで[ツール]から[拡張機能]を選択して削除することもできます。
アクセス許可と、不明なアプリケーション開発者に対する信頼性については、Google の「Chrome ウェブストアヘルプ」も確認することをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。